El nuevo presidente de los Estados Unidos no ha dejado indiferente a nadie. Aparte de muros, parece dispuesto a levantar ampollas en todas y cada una de las áreas de su competencia, que son muchas. Y la protección de datos personales no iba a ser menos.
Según leemos en esta noticia de El País, en el marco del control de la inmigración ilegal, Trump no quiere que los inmigrantes gocen de los derechos a la intimidad que garantizan sus propias leyes.
Y esto vuelve a desempolvar el conflicto latente que hay entre los 2 grandes bloques internacionales entorno al derecho a la intimidad y la protección de datos.
Antecedentes
Hagamos un poco de historia:
- 24 de octubre de 1995: El Parlamento Europeo aprueba la Directiva de Protección de Datos que declara ilegales las transferencias internacionales fuera de la UE a terceros que no garanticen un nivel adecuado de protección a criterio de las autoridades europeas (EE.UU. no cumple los requisitos para ser considerado como país “adecuado”).
- 26 de julio de 2000: La Comisión Europea adopta una Decisión para considerar como destino “adecuado” aquellas empresas estadounidenses que voluntariamente se comprometan al cumplimiento de una serie de medidas y normas que reciben el nombre de “Puerto Seguro”.
- 26 de octubre de 2001: En respuesta al 11-S, George W. Bush promulga la Ley Patriota con una serie de medidas de emergencia para combatir el terrorismo que sólo tendrían vigencia hasta el 31 de diciembre de 2005.
- 2 de marzo de 2006: Se renueva la Ley Patriota manteniendo gran parte de las medidas de emergencia consideradas como una limitación de las libertadas constitucionales.
- 5 de junio de 2013: Edward Snowden, consultor de la NSA, revela al mundo a través de The Guardian y del Washington Post las actividades de espionaje del programa PRISM amparadas en la “Ley Patriota”.
- 18 de junio de 2014: Max Schrems, abogado austriaco, activista por el derecho a la intimidad y piedra en el zapato para Facebook, motivado por las revelaciones de Snowden, consigue llevar a juicio una reclamación contra Facebook Irlanda por transferir los datos de los usuarios europeos a Facebook USA, cuando las revelaciones de Snowden habían dejado claro que ni siquiera las empresas adheridas a Puerto Seguro podían considerarse destinos adecuados. El Juzgado irlandés plantea una cuestión prejudicial al Tribunal de Justicia de la UE para que se pronunciase sobre la posibilidad de no reconocer como garantía adecuada para una transferencia internacional de datos la adhesión a Puerto Seguro.
- 2 de junio de 2015: Se sustituye la Patriot Act por la Freedom Act que, entre otras medidas, limita la capacidad de espionaje de las agencias estadounidenses.
- 6 de octubre de 2015: El TJUE analiza la cuestión prejudicial planteada por el Juzgado irlandés y critica duramente la falta de control sobre la privacidad en Estados Unidos (especialmente por la recopilación masiva e indiscriminada de información sobre los ciudadanos). Sin embargo, la sentencia decide anular la Decisión de Puerto Seguro por un motivo más formal que de fondo; en concreto, por un problema de jerarquía normativa (la Decisión limitaba las capacidades de actuación de las autoridades europeas reconocidas por la Directiva de Protección de Datos, que es una norma de rango superior).
Desde este momento quedan anuladas las transferencias internacionales de datos a empresas estadounidenses que estuviesen amparadas en su adhesión a Puerto Seguro, provocando una gran inseguridad e indefensión en gran parte de las empresas europeas que utilizan servicios ubicados en USA.
- 27 de abril de 2016: Se publica el Reglamento Europeo de Protección de Datos, ampliando su alcance a cualquier empresa que trate datos personales de ciudadanos europeos (para ofrecer productos o servicios, o controlar el controlar el comportamiento), independientemente de en qué país estén ubicadas. Esto incluye a todos los gigantes de Internet pero, inexplicablemente, sigue considerando como transferencia internacional el flujo de datos desde la UE a estas empresas ahora obligadas al cumplimiento de la normativa europea.
- 12 de julio de 2016: La Comisión Europea aprueba una nueva Decisión (“Privacy Shield”) para reemplazar la Decisión de Puerto Seguro. Las empresas estadounidenses que se adhieran este nuevo acuerdo serán consideradas como destinos seguros.
Las autoridades europeas de protección de datos ven con recelo el nuevo acuerdo por considerar que las garantías no son suficientes y advierten que estarán muy atentos a su desarrollo, que será revisado anualmente.
- 8 de noviembre de 2016: El polémico magnate Donald Trump gana las elecciones presidenciales en Estados Unidos con 289 votos electorales, frente a los 218 de Hillary Clinton, convirtiéndose en presidente electo.
- 25 de enero de 2017: La Administración Trump publica una orden ejecutiva, cuya Sección 14, establece que las “agencias deberán, en la medida compatible con la legislación aplicable, garantizar que sus políticas de privacidad excluyen a las personas que no sean ciudadanas de Estados Unidos o residentes permanentes legales”.
- 28 de marzo de 2017: Trump revoca una ley del expresidente Obama que obligaba a los proveedores de servicios de internet a tener el consentimiento de sus usuarios antes de compartir o vender su información con terceros.
¿Y ahora qué?
Y así llegamos al presente, con un montón de incertidumbres…
¿Cuál será la próxima sorpresa que nos traerá el Presidente Trump?
¿Cómo reaccionará la UE en materia de privacidad?
¿Se romperá el Privacy Shield antes de lo esperado? Y, en tal caso, ¿tendremos que volver a traernos los datos a Europa de forma urgente como pasó a finales de 2015 – principios de 2016?
¿Cómo se gestionará la aplicación extraterritorial del RGPD a las empresas estadounidenses?
¿Cuándo y cómo estallará el conflicto entre dos grandes bloques que recorren el camino de la privacidad en sentidos opuestos?
Calienten sus palomitas, enfríen su refresco y cojan un buen sitio, porque van a ser 4 años muy largos.
José Carlos Moratilla
Responsable del Departamento Legal
Áudea Seguridad de la Información